A equipe de segurança da TechSmith tomou conhecimento da vulnerabilidade de Execução Remota de Código (RCE) do Log4j em 10 de dezembro de 2021 e imediatamente iniciou uma investigação.
Softwares e Serviços Criados pela TechSmith
Log4j é uma ferramenta de registro para software baseado em Java. Exceto por nossas soluções baseadas em Android, a TechSmith não utiliza Java para o software que criamos. Não esperávamos encontrar qualquer uso do Log4j, mas investigamos nossos repositórios de código-fonte e manifestos de bibliotecas para verificar que os softwares e serviços da TechSmith não utilizam nem distribuem a biblioteca Log4j.
- TechSmith Snagit - Não usa Log4j
- Camtasia Editor - Não usa Log4j
- TechSmith Audiate - Não usa Log4j
- TechSmith Capture - Não usa Log4j
- TechSmith Knowmia - Não usa Log4j
- Screencast.com - Não usa Log4j
- Video Review - Não usa Log4j
- TechSmith Assets para Camtasia Editor / Snagit - Não usa Log4j
- TechSmith Fuse - Não usa Log4j
- Coach's Eye e coachseye.com - Atualmente não usam Log4j; entretanto, versões do Coach's Eye para Android lançadas antes de 2020 podem conter Log4j.
Uso do Log4net no Camtasia Snagit e Camtasia Editor
TechSmith Snagit para Windows anterior à versão 2022.0.2 e Camtasia Editor para Windows anterior à 2021.0.16 foram distribuídos com uma versão do Log4net vulnerável ao CVE-2018-1275. Isto não está relacionado às vulnerabilidades RCE do Log4j.
Esta biblioteca era uma dependência de SDKs antigos do Google para os recursos Google Drive e YouTube. Explorar esta vulnerabilidade exigiria acesso de gravação ao sistema de arquivos local, o que permitiria a um agente malicioso realizar muitas outras ações maliciosas no computador alvo. Não há razões para acreditar que isso seja explorável remotamente.
Usuários que não puderem atualizar para versões corrigidas podem mitigar seu risco desabilitando as funcionalidades do Google Drive e YouTube no Snagit e Camtasia Editor. Por favor, abra um chamado de suporte se precisar de ajuda com isso.